نگهداری گواهی‌های SAML

برنامه‌های SAML شما از گواهی‌های X.509 برای تأیید صحت و یکپارچگی پیام‌های به اشتراک گذاشته شده بین ارائه‌دهنده هویت (IdP) و ارائه‌دهنده خدمات (SP) استفاده می‌کنند. به عنوان یک مدیر ارشد، می‌توانید از کنسول مدیریت برای موارد زیر استفاده کنید:

  • به راحتی گواهی‌های X.509 مورد استفاده توسط برنامه‌های SAML خود را مشاهده کنید
  • شناسایی گواهی‌های X.509 که در شرف انقضا هستند
  • گواهینامه‌های جدید ایجاد کنید و آنها را به برنامه‌های SAML خود اختصاص دهید. به این کار چرخش گواهینامه می‌گویند.

چرا گواهی‌های SAML را باید چرخاند؟

گواهینامه‌های X.509 دارای طول عمر پنج ساله هستند. اگر گواهینامه‌ای در شرف انقضا باشد یا در معرض خطر قرار گیرد، باید آن را تغییر دهید. اگر گواهینامه‌ای قبل از تغییر آن منقضی شود، کاربران شما نمی‌توانند از SSO برای ورود به هیچ برنامه SAML که از آن گواهینامه استفاده می‌کند استفاده کنند تا زمانی که آن را با یک گواهینامه جدید جایگزین کنید.

قبل از انقضای گواهی پیش‌فرض خود، یک گواهی دوم با طول عمر ۵ ساله جدید اضافه کنید، سپس برنامه‌های خود را از گواهی در حال انقضا تغییر دهید. داشتن دو گواهی معتبر به شما این امکان را می‌دهد که برخی از برنامه‌ها را به عنوان آزمایش به گواهی جدید منتقل کنید، بدون اینکه برنامه‌هایی که هنوز از گواهی قدیمی‌تر استفاده می‌کنند تحت تأثیر قرار گیرند. وقتی همه برنامه‌ها را به گواهی جدید منتقل کردید، می‌توانید گواهی قدیمی را حذف کنید.

مهم: پس از اختصاص یک گواهی جدید به یک برنامه SAML در کنسول مدیریت، باید پیکربندی SSO سمت SP مربوطه را نیز با گواهی جدید به‌روزرسانی کنید، در غیر این صورت SSO با برنامه از کار می‌افتد.

مدیریت گواهی‌های SAML

حساب شما یک گواهی پیش‌فرض دارد که می‌توانید برای همه برنامه‌های SAML خود استفاده کنید. می‌توانید یک گواهی دوم اضافه کنید، یا یک یا هر دو گواهی را حذف کنید و گواهی‌های جدیدی ایجاد کنید:

  1. در کنسول مدیریت گوگل، به منو بروید و سپس امنیت و سپس احراز هویت و سپس SSO با برنامه‌های SAML

    برای این کار باید به عنوان مدیر ارشد وارد سیستم شوید.

    بخش گواهینامه‌ها، گواهینامه‌های X.509 فعلی شما را نشان می‌دهد. می‌توانید حداکثر ۲ گواهینامه را همزمان داشته باشید. نام گواهینامه، تاریخ انقضا، محتویات و اثر انگشت SHA-256 نمایش داده می‌شوند. از دکمه‌های سمت راست برای کپی، دانلود یا حذف یک گواهینامه استفاده کنید.

  2. (اختیاری) اگر فقط یک گواهی دارید، برای ایجاد گواهی دوم، روی «افزودن گواهی دیگر» کلیک کنید.

    توجه: جدیدترین (جدیدترین) گواهی تولید شده، گواهی پیش‌فرض مورد استفاده برای تنظیم SSO برای برنامه‌های جدید SAML می‌شود.

  3. (اختیاری) برای ایجاد یک گواهی جدید:

    1. روی حذف کلیک کنید برای حذف یک گواهی

      اگر گواهی‌نامه‌ای که حذف می‌کنید توسط هر برنامه SAML نصب‌شده‌ای استفاده می‌شود، پنجره‌ای برنامه‌های آسیب‌دیده را فهرست می‌کند و به شما هشدار می‌دهد که SSO با برنامه تا زمانی که گواهی‌نامه جدیدی به آن برنامه‌ها اختصاص ندهید، در دسترس نخواهد بود.

    2. روی حذف گواهی کلیک کنید. حذف گواهی این نتایج را دارد:

      • اگر یک گواهی داشته باشید، یک گواهی جدید به طور خودکار برای جایگزینی آن ایجاد می‌شود.
      • اگر دو گواهی داشته باشید و گواهی ۱ را حذف کنید، گواهی ۲ جایگزین گواهی ۱ می‌شود.

  4. اگر گواهی استفاده شده توسط هر یک از برنامه‌های SAML خود را جایگزین کرده‌اید، مراحل بخش بعدی را برای اختصاص گواهی جدید به برنامه‌های آسیب‌دیده دنبال کنید. همچنین باید گواهی را در تنظیمات SSO برای آن برنامه‌ها در وب‌سایت اداری SP به‌روزرسانی کنید.

نکته: رویدادهای گواهی SAML (حذف، ایجاد، تغییر گواهی اختصاص داده شده به برنامه SAML) در گزارش حسابرسی مدیریت ثبت می‌شوند.

به‌روزرسانی گواهی‌نامه‌ی مورد استفاده توسط یک برنامه‌ی SAML

  1. در کنسول مدیریت گوگل، به منو بروید و سپس برنامه‌ها و سپس اپلیکیشن‌های وب و موبایل .

    نیاز به داشتن امتیاز مدیر مدیریت دستگاه تلفن همراه دارد.

  2. برای باز کردن صفحه تنظیمات، روی برنامه SAML کلیک کنید.

  3. روی جزئیات ارائه‌دهنده خدمات کلیک کنید.

    در قسمت Certificate ، گواهی فعلی مورد استفاده توسط برنامه، شامل شناسه گواهی و تاریخ انقضا نشان داده می‌شود. اگر گواهی‌ای را که در ابتدا برای راه‌اندازی برنامه استفاده شده بود حذف کرده باشید، هشدار «گواهینامه‌ای اختصاص داده نشده است» را مشاهده خواهید کرد.

  4. روی پیکان رو به پایین کلیک کنید و یک گواهی انتخاب کنید.

  5. (اختیاری) اگر گواهی دیگری موجود نیست، یا نیاز به ایجاد گواهی‌های جدید دارید، روی مدیریت گواهی‌ها کلیک کنید و دستورالعمل‌های مدیریت گواهی‌های SAML در بالا را دنبال کنید.

  6. پس از تغییر گواهی اختصاص داده شده به برنامه SAML، مطمئن شوید که پیکربندی SSO برنامه را نیز با گواهی جدید در وب‌سایت ارائه‌دهنده خدمات به‌روزرسانی کنید. SSO با برنامه SAML تا زمانی که پیکربندی سمت SP نیز به‌روزرسانی نشود، کار نخواهد کرد.

مهم: پس از تعویض گواهی، ممکن است تا ۲۴ ساعت طول بکشد تا گواهی جدید برای استفاده توسط برنامه‌های SAML شما در دسترس قرار گیرد.